Fail2ban

From Tuxunix
Jump to: navigation, search

Fail2ban

Fail2ban est un outils permettant via des regex de bloquer avec iptables des utilisateurs ou robots malintentionné ^^

Status fail2ban sur une régle particulière

#> fail2ban-client status apache-xmlrpc

Status for the jail: apache-xmlrpc
|- filter
|  |- File list:        /var/log/apache2/other_vhosts_access.log /var/log/apache2/www.domain.fr_access.log /var/log/apache2/access.log
|  |- Currently failed: 1 
|  `- Total failed:     42
`- action
  |- Currently banned: 0
  |  `- IP list:
  `- Total banned:     2

Vérifier la validité d'une régle

  • fichier de log : "/var/log/apache2/access.log"
  • fichier de regle : "/etc/fail2ban/filter.d/apache-wp.conf"
fail2ban-regex "fichier de log" "fichier de regle"
Running tests
=============

Use regex file : /etc/fail2ban/filter.d/apache-wp.conf
Use log file   : /var/log/apache2/access.log


Results
=======

Failregex
|- Regular expressions:
|  [1] ^<HOST> .*(POST|GET) .*wp-login\.php.*
|
`- Number of matches:
  [1] 155 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
======= 

Addresses found:
[1]
   176.126.252.11 (Sun Nov 01 09:39:45 2015)
   62.102.148.67 (Sun Nov 01 09:39:46 2015)

Stop hack wordpress (xmlrpc)

  • Creer le fichier suivant : /etc/fail2ban/filter.d/apache-xmlrpc.conf
[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.*
ignoreregex =
  • Ensuite dans le fichier : /etc/fail2ban/jail.conf
[apache-xmlrpc]

enabled  = true
port     = http,https
filter   = apache-xmlrpc
logpath  = /var/log/*access.log
maxretry = 3

Relancer fail2ban : service fail2ban restart


Stop hack wordpress (wp-login)

  • Ajouter le fichier suivant : /etc/fail2ban/filter.d/apache-wp.conf
[Definition]
failregex = ^<HOST> .*(POST|GET) .*wp-login\.php.*
ignoreregex =
  • Ensuite dans le fichier : /etc/fail2ban/jail.conf
[apache-wp]

enabled  = true
port     = http,https
filter   = apache-wp
logpath  = /var/log/*access.log
maxretry = 3

Envoie de mail lors d'un ban

  • Fichier "jail.conf" à modifier :
action = %(action_)s

par

action = %(action_mwl)s